Onderzoekers hebben opnieuw een manier gevonden hoe ze via fitnessapp Strava persoonlijke informatie van gebruikers kunnen achterhalen. Door middel van de heatmap is het mogelijk om van sommige gebruikers te zeggen waar ze wonen, aldus onderzoekers van de North Carolina State University.

Strava biedt een heatmap die geaggregeerde informatie over de wandel-, hardloop- en fietsroutes van gebruikers weergeeft. Het delen van deze informatie met de heatmap staat standaard ingeschakeld, maar is door gebruikers uit te schakelen. De gebruikersdata is geanonimiseerd en laat gebruikers zien hoeveel andere Strava-gebruikers van de betreffende routes gebruikmaken.

Doordat er alleen met geaggregeerde data wordt gewerkt zou het niet mogelijk moeten zijn om specifieke gebruikers te achterhalen, maar de onderzoekers zeggen een 'loophole' te hebben gevonden waardoor dit wel kan. Het is namelijk mogelijk om Strava-gebruikers in een opgegeven gebied op te zoeken. Via de heatmap kan worden gekeken waar de routes van geanonimiseerde gebruikers beginnen en eindigen.

De onderzoekers gebruikten vervolgens data van OpenStreetMaps die over de heatmap werd gelegd om zo aparte woningen te identificeren. Daarna werd er op gebruikers in het betreffende gebied gezocht. Strava biedt gebruikers de mogelijkheid om hun stad als locatie op te geven. Door gegevens van de heatmap en zoekfunctie te combineren is het adres te achterhalen. De trackingmethode zou een succespercentage van 37,5 procent hebben.

"In drukbevolkte gebieden met veel routes en gebruikers, is er zoveel data dat het zeer lastig is om een bepaald persoon te volgen", zegt onderzoeker Anupam Das. "In gebieden met weinig gebruikers en/of routes, is het een kwestie van elimineren - met name als de gezochte persoon een zeer actieve Strava-gebruiker is. Zelfs gebruikers die hun accounts als privé hebben ingesteld verschijnen wanneer iemand zoekt naar een lijst van alle gebruikers in een bepaalde regio, dus het instellen van het account als privé biedt niet per definitie bescherming tegen deze trackingtechniek."

De onderzoekers zeggen Strava te hebben ingelicht, maar het bedrijf stelt dat het heatmap-gegevens niet deelt, tenzij meerdere gebruikers in een gebied actief zijn. "Toch wisten we de adresgegevens van sommige gebruikers in bepaalde gebieden via de heatmap te achterhalen, en bevestigden die identificaties met gegevens van geregistreerde kiezers", laat onderzoeker Kevin Childs weten. Strava-gebruikers kunnen via "aggregated data usage" hun routes van de heatmap verwijderen. In het verleden hebben onderzoekers verschillende manieren getoond voor het achterhalen van gevoelige informatie via Strava.